банер, заблокирована система

[HR_Irina]

День добрый! Не была здесь настолько давно, что пришлось регистрироваться заново. Помню, что такая беда обсуждалась, пришла и моя очередь.

Поймала вирус. Появилось окно, сообщающее, что я пыталась войти на сайт с запрещенным содержанием, винда заблокирована, пришлите СМС, бла-бла-бла.

Винда действительно заблокирована (((.

Что делать? Можно ли справиться своими силами (я не очень продвинутый пользователь )

Так на всякий случай: у меня семерка и майкрософтовский антивирус (а с каспером такого не случалось )

 

нашла алгоритм в подобных темах.

http://forum.kasperskyclub.ru/index.php?sh...с+заблокирована

вроде все понятно. НО комп не желает загружаться с диска, упрямо пытается загрузить винду и снова блок.

В BIOS загрузку с диска сделала, но не идет.

Может этот волшебный файл как-то не так записан на диск, что комп с него не грузится?

Изменено 27 декабря, 2012 пользователем HR_Irina

[Ice_man]

Kaspersky WindowsUnlocker в помощь http://support.kaspersky.ru/8005

Кстати, правила оформления запроса данной темы: http://forum.kasperskyclub.ru/index.php?showtopic=31551

Изменено 27 декабря, 2012 пользователем Ice_man

[Tiare]

баннер возникает на каком этапе загрузки системы?

- MBRlock (появляется сразу после BIOS до появления логотипа загрузки Windows);

- Winlock (появляется уже после начального логотипа загрузки Windows или после авторизации пользователей)

[HR_Irina]

баннер возникает на каком этапе загрузки системы?

после авторизации пользователя

 

Kaspersky WindowsUnlocker в помощь http://support.kaspersky.ru/8005

Кстати, правила оформления запроса данной темы: http://forum.kasperskyclub.ru/index.php?showtopic=31551

Kaspersky WindowsUnlocker не помогает, кода не существует

[Ice_man]

Kaspersky WindowsUnlocker не помогает, кода не существует

вы видимо что-то путаете, Kaspersky WindowsUnlocker баннеры снимает не кодами....

[HR_Irina]

вы видимо что-то путаете, Kaspersky WindowsUnlocker баннеры снимает не кодами....

может уже и путаю, крыша едет

 

да, путаю. разобралась.

выше написала, что как-раз пытаюсь это использовать, но не получается загрузиться с диска

Изменено 27 декабря, 2012 пользователем HR_Irina

[Tiare]

HR_Irina,

 

проверьте, возможно ли загрузить систему без блокировки (в проблемной учетной записи) в одном из следующих безопасных режимов:

- безопасный режим с поддержкой сети;

Если компьютер загрузился в этом режиме, выполните http://forum.kasperskyclub.ru/index.php?showtopic=31551 (пункты 2, 4, 5, 6) и прикрепите логи в своей теме;

 

- безопасный режим с поддержкой командной строки.

Если компьютер загрузился в этом режиме, то:

1. Запустите в командной строке explorer.exe (как результат - появится окно Проводника)

2. Выполните http://forum.kasperskyclub.ru/index.php?showtopic=31551 (пункты 2, 4, 5, 6) и прикрепите логи в своей теме.

 

 

Если что-то не получается сделать - напишите.

[HR_Irina]

HR_Irina,

 

проверьте, возможно ли загрузить систему без блокировки (в проблемной учетной записи) в одном из следующих безопасных режимов:

- безопасный режим с поддержкой сети;

Если компьютер загрузился в этом режиме, выполните http://forum.kasperskyclub.ru/index.php?showtopic=31551 (пункты 2, 4, 5, 6) и прикрепите логи в своей теме;

 

- безопасный режим с поддержкой командной строки.

Если компьютер загрузился в этом режиме, то:

1. Запустите в командной строке explorer.exe (как результат - появится окно Проводника)

2. Выполните http://forum.kasperskyclub.ru/index.php?showtopic=31551 (пункты 2, 4, 5, 6) и прикрепите логи в своей теме.

 

 

Если что-то не получается сделать - напишите.

попробую, это надолго наверно

 

Получилось зайти в безопасном режиме с поддержкой командной строки

вот что насобиралось.

кстати, немного потупила, пока не поняла, что для работы RSIT нужно сначала скачать прогу HiJackThis )))

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 27 декабря, 2012 пользователем HR_Irina

[Roman_Five]

В безопасном режиме выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Users\Ирина\20670350.exe','');
DeleteFile('C:\Users\Ирина\20670350.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','explorer');
DelAutorunByFileName('C:\Users\Ирина\20670350.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

В обычном режиме сделайте новые логи по правилам.

[HR_Irina]

СПАСИБО ВСЕМ!

Пишу со своего компа, заработал!

Ответ придет, наверное, не скоро, поскольку каспера у меня пока нет. Думаю снова к нему вернуться

Новые логи сделаю, выложу.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Изменено 28 декабря, 2012 пользователем HR_Irina

[Roman_Five]

в безопасном режиме удалите DrWeb CureIT!

http://download.geo.drweb.com/pub/drweb/to...drw_remover.exe

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

Сделайте лог AdwCleaner

http://safezone.cc/forum/showthread.php?t=19726

[Tiare]

HR_Irina,

 

+ к вышесказанному

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exe

 

C:\ProgramData\Premium\OptimizerPro - сами устанавливали?

[HR_Irina]

в безопасном режиме удалите DrWeb CureIT!

http://download.geo.drweb.com/pub/drweb/to...drw_remover.exe

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

Сделайте лог AdwCleaner

http://safezone.cc/forum/showthread.php?t=19726

 

Просканировала.

Malwarebytes' Anti-Malware - очень злобная вещь Все кейгены в черный список занесла. Даже каспер не такой мнительный

 

 

 

HR_Irina,

 

+ к вышесказанному

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exe

 

C:\ProgramData\Premium\OptimizerPro - сами устанавливали?

 

Нет такого файла. Папка пустая, скрытых файлов тоже нет. Может он сегодняшних манипуляций не пережил?

 

 

Получила ответ от ЛК:

20670350.exe - Trojan-Ransom.Win32.Gimemo.avsu

MBAM_log_2012_12_28__18_54_35_.txt

AdwCleaner_R1_.txt

Изменено 28 декабря, 2012 пользователем HR_Irina

[Roman_Five]

Деинсталлируйте MBAM.

 

Запустите ещё раз AdwCleaner и нажмите Delete

новый полученный лог приложите.

 

 

Удалите папку и файл:

C:\ProgramData\Premium\OptimizerPro1\
C:\Windows\Tasks\OptimizerPro1UpdaterTask{40A03400-2C4B-44F3-98B5-8E8FE2AB3006}.job

[HR_Irina]

Запустите ещё раз AdwCleaner и нажмите Delete

новый полученный лог приложите.

 

До этого момента я в принципе понимала, что делаю, и была спокойна.

Сейчас тоже хотелось бы понять, что именно будет удалено.

Не сочтите за наглость, в двух словах поясните, пожалуйста.

 

C:\ProgramData\Premium\OptimizerPro1\

такой папки нет, удалила всю Premium (все-равно пустая была)

AdwCleaner_S2_.txt

Изменено 28 декабря, 2012 пользователем HR_Irina